A medida que nos acercamos a finales de 2024, el ransomware sigue siendo una amenaza dominante y en evolución contra cualquier organización. Los ciberdelincuentes son más sofisticados y creativos que nunca. Integran nuevas tecnologías, aprovechan las tensiones geopolíticas e incluso utilizan las regulaciones legales en su beneficio.
Lo que antes parecía un delito disruptivo, pero relativamente sencillo, se convirtió en un desafío global de múltiples capas que sigue amenazando tanto a empresas como a gobiernos.
Echemos un vistazo al estado actual del ransomware. Nos centraremos en cómo los ciberdelincuentes están cambiando de táctica, apoyándose en la tecnología de inteligencia artificial, aprovechando los marcos legales y mucho más.
Uno de los desarrollos más significativos en el escenario del ransomware ha sido el uso de inteligencia artificial (IA) para mejorar los ataques de phishing e ingeniería social. Históricamente, los correos electrónicos de phishing a menudo contenían signos evidentes de fraude: palabras mal escritas, mala gramática y mensajes genéricos. Sin embargo, las nuevas herramientas de IA generativa pueden crear correos electrónicos altamente personalizados y de aspecto profesional, lo que ha cambiado drásticamente las reglas. Esto probablemente explica por qué los volúmenes de ataques de phishing y las tasas de éxito han ido en aumento, ya que las campañas de phishing son más fáciles de generar y son más convincentes que nunca.
La IA permite a los actores de amenazas extraer grandes cantidades de datos para elaborar correos electrónicos convincentes dirigidos a personas u organizaciones específicas. Estos correos electrónicos pueden contener información contextual que los hace parecer legítimos, lo que aumenta significativamente la probabilidad de éxito. La capacidad de lanzar ataques tan precisos es la razón por la que el ransomware ha sido particularmente devastador para industrias como la atención médica, donde cualquier interrupción puede tener consecuencias potencialmente mortales.
Además, la tecnología deepfake generada por IA ha comenzado a desempeñar un papel en la ingeniería social. Los delincuentes cibernéticos ahora pueden crear deepfakes de audio y video de ejecutivos de la empresa para engañar a los empleados para que transfieran dinero o revelen información confidencial. Esto ha hecho que la detección de fraudes sea mucho más difícil, y a las organizaciones les resulta cada vez más difícil protegerse contra este tipo de ataques.
Los grupos de ransomware no solo confían en medios técnicos para presionar a las víctimas para que paguen rescates, sino que también están manipulando las regulaciones legales en su beneficio. Uno de los desarrollos más llamativos en 2024 ha sido la militarización de las reglas de divulgación, específicamente las emitidas por la Comisión de Bolsa y Valores de EE. UU. (SEC).
Un caso reciente de alto perfil involucró al grupo de ransomware BlackCat/ALPHV que presentó una queja formal ante la SEC contra un proveedor de servicios de préstamos digitales. Después de exfiltrar los archivos de la empresa, el grupo supuestamente informó a la SEC que el proveedor incumplió con las regulaciones que requieren que las organizaciones divulguen cualquier incidente de ciberseguridad dentro de los cuatro días hábiles. Esta táctica “legal” adicional fue diseñada para presionar a las víctimas a pagar el rescate para evitar sanciones financieras o daños a la reputación.
Este incidente inquietante muestra que los grupos de ransomware aprovecharán cualquier cosa, incluso las regulaciones del gobierno, como palanca. “Los actores de amenazas están utilizando la normativa para presionar más a las víctimas. Esta es una tendencia bastante interesante", dijo Ifigeneia Lella, experta en ciberseguridad de la European Union Agency for Cybersecurity (ENISA). Es un escalofriante recordatorio de que los marcos, aunque su objetivo es proteger al público y promover la transparencia, pueden ser manipulados por personas malintencionadas para promover sus propios intereses maliciosos.
Según el informe ENISA Threat Landscape 2024, el año pasado se vio un uso creciente de técnicas de "living-off-the-land" (LOTL) por parte de los delincuentes cibernéticos. Los ataques LOTL implican el uso de herramientas y software que ya existen dentro del sistema de una víctima, lo que dificulta que los equipos de seguridad detecten actividades maliciosas. En lugar de depender de malware externo que puede ser marcado por el software antivirus, los atacantes aprovechan herramientas administrativas legítimas como PowerShell o Windows Management Instrumentation (WMI) para ejecutar sus ataques.
Por ejemplo, PLAY, un grupo de ransomware multiextorsión, suele emplear herramientas comerciales como Cobalt Strike, Empire y Mimikatz para el descubrimiento y el movimiento lateral dentro de la red del objetivo. Al evitar la introducción de software nuevo y sospechoso, los atacantes pueden evadir la detección durante períodos más largos, a menudo hasta que sea demasiado tarde para que la víctima responda de manera efectiva. Este cambio hacia las técnicas LOTL representa un desafío continuo para los profesionales de la ciberseguridad, ya que las soluciones antivirus tradicionales son cada vez menos eficaces contra estos ataques sutiles.
Además de los avances tecnológicos, el ransomware se utiliza cada vez más como arma de influencia geopolítica y hacktivismo. Los delincuentes cibernéticos ya no están motivados solo por el beneficio financiero; algunos están utilizando malware para promover agendas políticas, desestabilizar gobiernos o crear caos en ciertas regiones.
El informe de ENISA enfatizó cómo las tensiones geopolíticas están convergiendo con los ataques de ransomware. Por ejemplo, durante el conflicto entre Rusia y Ucrania, los grupos de ransomware atacaron infraestructuras críticas en Ucrania y otros países aliados con Ucrania. Estos ataques no fueron necesariamente motivados desde el punto de vista financiero, sino más bien impulsados políticamente. El objetivo era interrumpir las operaciones nacionales o paralizar sectores clave como la energía, la salud y el transporte.
Los grupos hacktivistas también están uniendo fuerzas con bandas de ransomware para impulsar sus propios objetivos ideológicos. Por ejemplo, han aumentado los ataques a la administración pública y a los sectores del transporte, a menudo vinculados a acontecimientos políticos específicos o movimientos globales. A medida que el delito cibernético se politiza más, las organizaciones y los gobiernos deben reconocer que el ransomware ya no es solo una amenaza financiera, sino también una herramienta de disrupción en el escenario global. Y dado el aumento de las tensiones geopolíticas en todo el mundo, este tipo de ataques son cada vez más comunes.
A pesar de los esfuerzos globales para frenar el ransomware, la cantidad de ataques de ransomware continúa aumentando. Según Ransomware Tracker, el número de víctimas publicadas en sitios de extorsión se disparó en mayo de 2024 a 450, frente a las 328 de abril, lo que lo convierte en uno de los meses más activos de los últimos años.
Industrias como la atención médica, la administración pública, el transporte y las finanzas se encuentran entre las más atacadas. Estos sectores son particularmente vulnerables debido a su dependencia de la infraestructura digital y las graves consecuencias del tiempo de inactividad operativa. Por ejemplo, el Departamento de Salud y Servicios Humanos de Estados Unidos informó un aumento del 256 % en las infracciones relacionadas con el hackeo en la atención médica en los últimos cinco años, lo que subraya la mayor vulnerabilidad del sector.
El impacto financiero del ransomware continúa creciendo en 2024, con costos que se extienden más allá de los pagos de rescate. Según un informe de la industria, el costo promedio de recuperación para las víctimas de ransomware en los gobiernos estatales y locales es de 2.73 millones de dólares, más del doble de la cantidad declarada en 2023. Estos costos incluyen no solo pagos de rescate, sino también gastos relacionados con tiempo de inactividad, pérdida de datos, interrupción operacional y daño a la reputación.
Las propias demandas de rescate también se están disparando. El informe establece que la demanda promedio de rescate para los gobiernos estatales y locales es ahora de 3.3 millones de dólares, con algunas demandas que superan los 5 millones de dólares. A nivel mundial, industrias como la salud, la energía y la educación están experimentando tendencias similares. Peor aún, las altas demandas de rescate y los elevados costos de recuperación pueden paralizar o incluso cerrar organizaciones más pequeñas.
El panorama del ransomware en 2024 es cada vez más complejo. Con campañas de phishing impulsadas por IA, técnicas de living off the land, la explotación de infraestructura y la fusión de tensiones geopolíticas, lo que está en juego nunca ha sido tan alto. Sin embargo, los avances en las herramientas de ciberseguridad de IA y una creciente concientización de estas tácticas en evolución proporcionan vías para mejorar las defensas.
A medida que los ciberdelincuentes se adaptan e innovan, también deben hacerlo los profesionales y organizaciones de ciberseguridad. Las medidas proactivas, como la gestión de vulnerabilidades, el empleo de estrategias de respaldo sólidas y la inversión en capacidades de respuesta ante incidentes, son esenciales para combatir esta amenaza siempre presente. El ransomware puede seguir evolucionando, pero también lo harán las herramientas y estrategias empleadas para combatirlo.